Názory k článku
Známe útočníka, který prodával data z LinkedIn, DropBox či Twitteru

Keby bol asocial tak ho nemaju! :D

Mě by spíš zajímalo, zda zavřou i ty, kdo ta data kupovali.

Jo, opravdu "Maksim Vladimirovich"?

Jeste ze ne Makcim. :-D

Nechtel jste napsat Cracker? Pochybuji ze by Hacker doloval a prodaval data

Odbornému termínu „cracker“ tu každý rozumí, není problém jej zde používat. Technici by se měli vyjadřovat přesně. Ale jestli se chtějí místní autoři přibližovat kdejakému buranu na webu, jen tak dál, jde jim to dobře.

Teda nejsem hacker a prodejce dat ze soc.siti, ale soc.site neprovozuju a na tu jednu, kde mam ucet kvuli sledovani, zadny osobni data nedavam a app ma na telefonu nema pristup nikam.

Ale stejne, z prodeje dat bych nevinil jeho, ale provozovatele sluzby a mozna spis staty. Na jednu stranu staty vynuciji identifikaci na kazdou blbost (chcete SIMku, ID, chcete poslat penize, taky ID, teda aspon v CH chteji ID pro prepaid i pro poslani penez ve Western Union, v CR lze koupit Kaktus bez ID, na Western jsem se jeste neptal), takze soc.site je taky vyzadujou, overovani pres SMS, fotky obleceje s kontrolnim cislem drzenym v ruce, a pak se kvuli ochrane osobnich udaji musi vymyslet blbosti jako GDPR. Kdyby misto toho staty udelaly zakon, ze nikdo krome policie nesmi pozadovat osobni udaje jako podminku, tak by lidi ochranili o hodne vic. Ale co, ovce stejne do soc.siti napisou sami ochotne spoustu dalsich osobni informaci, aniz by to site pozadovaly.

Tak si frajere precti GDPR, ktere primo zakazuje vynucovani osobnich udaju k poskytnuti sluzby, jestlize na nich sluzba primo nestavi a nepotrebuje je pro provoz. Jinymi slovy, beres si uver, musis dat data k identifikaci, pro lustrace a jine zakonne ukony. Chces se zaregistrovat na facebooku, nesmi byt povinne zadat realne jmeno atd.

No, GDPR jsem necetl, sice to vsude vyskakuje, ale nectu to. Ted jsem do toho trochu kouknul, ale nevypada to na "zakaz vynucovani osobnich udaju", ale pouze na "ochranu obcanu pri zpracovani osobnich udaju". Takze osobni udaje si muzou firmy vynucovat, ale musi zajistit jejich ochranu. Cele se to jmenuje "o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů" a ne "o zakazu vynucovani osobnich udaju".

Ale kdyz rikas facebook, tak se zkus dneska zaregistrovat na facebook nebo google. Po me to chtelo krome captchi (coz dokazu akceptovat) jeste telefonni cislo (pro zaslani SMS s kodem, ikdyz v CR si muzu koupit anonymne prepaid SIM, prave treba tu Kaktus, ale mozna jdou i jine) a dokonce osobni fotografii, kterou prej nekdo posoudi a pak "pry" smaze a nebude ulozena v profilu. Po registraci na instagram pak po nejake dobe chteli, abych udelal selfie a v ruce drzel papir s napsanym kodem. V dalsim pripade jsem cetl, ze nekomu zablokovali ucet na instagramu a dotycny se musel vyfotit s osobnim prukazem. Sorry, ale prokazovat se osobnim prukazem smi pozadovat pouze policie CR (ted si nejsem jistej, jestli dokonce ani mestska nema pravo te legitimovat, ale rozhodne ani ochranka ve firmach to nesmi), tak jak si to muze dovolit nejakej podelanej instagram, kde na muj os. ID prukaz bude cumet nejakej debilni zamestnanec.

Navic (coz je pravda, kterou si moc lidi neuvedomuje) zlocince zakony a narizeni nejak nezajimaji, takze zlodeje os.dat nejake GDPR netankuje a kdyz uz jednou nejak system osobni data ma, tak je ma a zlodej je ukradne (stejne jako zlodeje udaju z bezdotykovych karet, platebnich nebo ID prukazu, nezajima, ze vykon ctecek tehle karet musi byt X, takze by se mely dat karty cist jen na jeden metr). Takze zadne "podle GDPR musite souhlasit s ulozenim cookie kvuli identifikaci a personalizaci a s ulozenim vasich osobnich dat". GDPR melo rikat "system nesmi vyzadovat souhlas s ulozenim os.dat, podminovat pouzivani sluzby souhlasem s ulozenim osobnich dat". Samozrejme, pokud to neni nutne, coz v pripade sluzby zadarmo nutne neni. Neco jineho je, kdyz si objednam zpoplatnenou sluzbu, kde si provozovatel zpetne uctuje poplatky. Ale treba u predplacenych sluzeb take osobni udaje nejsou nutne - bud tam penize mam nebo mi provozovatel sluzbu zablokuje nebo proste sluzba nefunguje, stejne jako prepaid SIM.

No, GDPR jsem necetl, sice to vsude vyskakuje, ale nectu to.

To je celkem chyba. Dočel by ses např., že "při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné." - viz čl. 7/4. A pak si s takovým souhlasem můžeš vytřít řiť.

Tak se koukni treba na stranky UOOU. Hned tam to jednoduse vysvetluji.

Souhlas se zpracováním osobních údajů nemůže být považován za nezbytnou podmínku ani za právní titul pro zpracování osobních údajů v rámci poskytování služby či koupě zboží

Google i facebook chce telefon nebo mail pro obnovu uctu. Tak jsem si kvuli tobe zalozil ucet na FB. Nevidim tam nikde povinnost nahrat fotografii. Normalne fungujici ucet. Falesne jmeno, 10minutesmail a smyslene datum narozeni(to muze byt povinny udaj, kvuli zakonum dane zeme o minimalni veku uzivatelu na FB - u nas myslim 15, ale co ja vim).

Co se tyce Twitteru ci instagramu. To co rikas je jedna baba povidala. I kdyby to twitter nebo instagram vyzadoval, je to z duvodu overene osoby. To je funkce pro verejne zname osoby, ktera jim pomaha bojovat s fake ucty, resp. je uplne anulovat. Mit tento druh uctu je samozrejme dobrovolne.

MP se ridi zákonem o Policii, takže 273/2008 $63. A ano ochranky a "vyhazovaci" nemuzou chtit videt obcanku. Problem je v tom ze firma treba nema svuj interni identifikacni system a pokud nemas moznost jak se oficialne legitimovat, tak ti muzou zamezit pristup. Samozrejme to nemuzou udelat jen tak a ty muzes opet podle z. 273/2008 pozadat policii o ztotozneni pro treti osobu resp. i ta ochranka si muze vyzadat u polici tve ztotozneni. Stejne soukrome prostory s vekovym omezenim. Oni sice nemuzou chtit obcanku, ale ty ses jim zaroven povinnen nejak prokazat svuj vek, cim to asi tak udelas?

To s temi kartami je uplny nesmysl. Ano nekdo to udelat muze a ano jsi idiot pokud si nevsimnes na uctu toho ze to nekdo udelal. Terminaly jsou registrovane, jejich majitel je znamy, reseni tohoto nemyslu je pomerne primitivni a nikdo si to nelajzne protoze je snadno dohledatelny.

Google i facebook chce telefon nebo mail pro obnovu uctu.
Po me ho chteli hned na zacatku a poslali tam overovaci kod.
Tak jsem si kvuli tobe zalozil ucet na FB. Nevidim tam nikde povinnost nahrat fotografii. Normalne fungujici ucet. Falesne jmeno, 10minutesmail a smyslene datum narozeni
Tak to mozna chteji jen pokud se jde z TORu. Pro me je i IP udaj, ze ktere lze dohledat osobu, nebo minimalne sledovat cinnost.
Co se tyce Twitteru ci instagramu. To co rikas je jedna baba povidala. I kdyby to twitter nebo instagram vyzadoval, je to z duvodu overene osoby. To je funkce pro verejne zname osoby, ktera jim pomaha bojovat s fake ucty, resp. je uplne anulovat.
Jasne, u overene osoby to chapu, aby se nemohl vydavat nekdo za znamou osobnost. Tohle ale znama osobnost nebyla.
Problem je v tom ze firma treba nema svuj interni identifikacni system
Jasne, tady jsme spis narazel na to, ze me nemuze jen tak nekdo legitimovat, kdyz chci pouzit jeho zdarma dostupnou sluzbu. Ale mozna ze je to opravdu v poradku, kdyz by chteli ID pri registraci. Kazdy majitel si muze urcit podminky. Takze je to asi v poradku, tak jsem kecal.

MP se řídí zákonem 553/1991Sb, zakon o obecní policii.

Já jsem si asi před dvěma týdny zkusil založit účet na FB, falešné jméno, mail seznamu, smyšlené datum narození, a fotku + tel. číslo to po mně chtělo. Asi tři dny probíhalo ověřování a výsledkem bylo zablokování účtu. Když jsem při registraci použil gmail, účet se vytvořil bez problémů, žádnou fotku ani číslo jsem zadávat nemusel.

Mě by zajímalo, jestli prodej osobních údajů, které jsem dejme tomu našel na ulici, je ilegální. Když osobní údaje nesbírám, ale prostě je bůhvíodkud mám, můžu je bohapustě prodávat a nezavřou mě?

Tak jsem to nemyslel, nemusel jsem je třeba najít uložené ve fyzické "movité věci". Třeba jsem je mohl nějak vyfotit nebo i koupit (online). Jde mi o to, jestli je ilegální samotné obchodování s osobními údaji. Podle GDPR je (imho, nečetl jsem ho) ilegální jen jejich ne-ochrana (čehož je prodej intenzivním případem), pokud je SÁM SBÍRÁM.

Prodej osobních údajů je využití osobních údajů. Takže k němu musíte mít souhlas dané osoby. Totéž platí i pro nákup osobních údajů - musíte si být jist, že dotčené osoby s ním souhlasily. Respektive že poskytly souhlas s prodejem os.info. a tím i s Vaším nákupem.
A i když osobní údaje koupíte, stále musíte mít i souhlas s jejich využitím, které plánujete.
Jediné, k čemu souhlas nepotřebujete, je smazání osobních údajů, které jste nějakým omylem získal.

Nezavřou, není to trestný čin. Ale je tam pěkně mastná pokuta. Ono je to totiž "nakládání s osobními údaji" a pokud u toho není i štos souhlasů s tvým jménem, explicitním povolením prodeje a podpisem těch lidí (nebo smlouva, podle které tohle má a ručí za to ten, kdo ti ty údaje poskytl), tak se z toho nevykroutíš.